Опасная фишинговая кампания использовала старую уязвимость Microsoft Excel, CVE-2017−11 882, для доставки печально известного вредоносного ПО Agent Tesla. Исследователи из Zscaler ThreatLabs раскрыли эту схему, показав, что хакеры специально нацеливаются на пользователей с устаревшими программами пакета Office.
Атака включает в себя документ Excel, который использует уязвимость повреждения памяти в редакторе уравнений, позволяя выполнять вредоносный код. Замысловатый процесс заражения начинается с обфусцированного Visual Basic Script, инициирующего загрузку вредоносного JPG-файла, содержащего Base64-кодированный DLL-файл.
Затем этот DLL-файл внедряется в инструмент регистрации сборок Windows (RegAsm.exe), прокладывая путь для конечной полезной нагрузки — Agent Tesla, продвинутого кейлоггера и трояна удаленного доступа (RAT). Способный незаметно собирать конфиденциальную информацию, Agent Tesla связывается с удаленным сервером C2 для извлечения украденных данных.
Исследователь безопасности Кайвалия Хурсале (Kaivalya Khursale) подчеркивает, что для защиты от таких сложных атак важно постоянно обновляться.